Bloco 1 – PRINCÍPIOS DA LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) é um marco regulatório que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 

Nesse sentido, o tratamento de dados pessoais deve observar princípios, direitos e garantias previstas na LGPD, independentemente do meio, físico ou digital, ou da tecnologia utilizada, como sistemas de Inteligência Artificial (IA). 

O desenvolvimento e o uso de sistemas de IA deve ter por norte a observância dos princípios que orientam as atividades de tratamento de dados pessoais, dentre os quais se destacam os seguintes: 

(i) finalidade, que limita o uso dos dados a propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 

(ii) necessidade, que requer que apenas os dados estritamente necessários sejam utilizados para alcançar as finalidades do tratamento; 

(iii) qualidade dos dados, que garante aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 

(iv) transparência, que exige a disponibilização de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento; e 

(v) não discriminação, que veda a realização de tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos. 

(vi) responsabilização e prestação de contas, em que deve ser demonstrado, pelo agente, a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

Esses princípios são essenciais para o desenvolvimento e o uso responsável de sistemas de IA que respeitem os direitos dos titulares, evitando o uso excessivo ou inadequado de informações pessoais. 

Nesse sentido, questiona-se:  

1) Como compatibilizar o treinamento de sistemas de IA com o princípio da necessidade, haja vista se tratar de atividade que, muitas vezes, demanda o tratamento de quantidades massivas de dados pessoais? Quais salvaguardas podem ser adotadas de modo a assegurar a observância desse princípio e viabilizar o desenvolvimento adequado de sistemas de IA, considerando, ainda, a importância da qualidade e diversidade dos dados utilizados? 

2) Quais boas práticas e salvaguardas devem ser observadas visando à definição de finalidades específicas e à divulgação de informações claras e adequadas e facilmente acessíveis aos titulares a respeito do tratamento de dados pessoais realizado durante o desenvolvimento e o uso de sistemas de IA?  

3) Como compatibilizar os princípios da finalidade e da transparência com o uso de sistemas de IA de propósito geral, isto é, sistemas que possam realizar uma ampla variedade de tarefas distintas e servir a diferentes finalidades? 

4) Quais boas práticas e salvaguardas, bem como parâmetros ou critérios, devem ser considerados ao longo de todo o ciclo de vida de sistemas de IA para prevenir discriminações ilícitas ou abusivas? 

Bloco 2 – HIPÓTESES LEGAIS

A LGPD define hipóteses legais, previstas nos art. 7º e 11, que autorizam o tratamento de dados pessoais.  

Diversas hipóteses legais podem, em diferentes contextos, amparar o tratamento de dados pessoais ao longo do ciclo de vida do sistema de IA. A título de exemplo, pode-se mencionar a execução de políticas públicas, a tutela da saúde, a prevenção à fraude e a garantia da segurança do titular e a execução de contrato. 

Dentre as hipóteses legais que podem ser utilizadas no contexto da IA, demandam maior discussão o consentimento e o legítimo interesse.  

O consentimento pressupõe a obtenção de uma manifestação livre, informada e inequívoca, mediante a qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, podendo ser revogado posteriormente. O consentimento pode ser de difícil aplicação prática em alguns contextos relacionados a sistemas de IA. É o caso, por exemplo, da coleta de dados pessoais acessíveis publicamente mediante técnicas de raspagem de dados visando ao treinamento de sistemas de IA. 

Por sua vez, o legítimo interesse pode amparar o tratamento de dados pessoais para atender a interesses legítimos do controlador ou de terceiros, inclusive da coletividade. Para tanto, a LGPD exige a adoção de uma série de salvaguardas, entre as quais a definição de medidas de transparência apropriadas e a realização de um teste de balanceamento, conforme já abordado pela ANPD no “Guia Orientativo – Legítimo Interesse”.¹ Uma limitação relevante para o uso da hipótese legal do legítimo interesse no contexto do uso de dados pessoais para treinamento de sistemas de IA decorre do fato de que essa hipótese legal não pode ser utilizada para fundamentar o tratamento de dados pessoais sensíveis.  

Nesse sentido, questiona-se:  

5) O tratamento de dados pessoais no contexto de sistemas de IA pode ser amparado pela hipótese legal do consentimento? Em quais circunstâncias? Quais as limitações para a utilização dessa hipótese legal nesses contextos e quais salvaguardas devem ser observadas? 

6) O tratamento de dados pessoais, no contexto de sistemas de IA, pode ser amparado pela hipótese legal do legítimo interesse? Em quais circunstâncias? Em caso afirmativo, quais salvaguardas devem ser adotadas nessas situações com vistas à proteção de direitos dos titulares, especialmente considerando a vedação de tratamento de dados pessoais sensíveis com base na hipótese legal do legítimo interesse? Em particular, a coleta de dados pessoais para o treinamento de sistemas de IA, especialmente mediante técnicas de raspagem de dados, pode ser fundamentada na hipótese legal do legítimo interesse? 

Bloco 3 – DIREITOS DOS TITULARES

O uso de dados pessoais em sistemas de IA pode ter impactos significativos sobre os direitos dos titulares.  

Um dos aspectos mais críticos diz respeito à tomada de decisões baseadas unicamente no tratamento automatizado de dados pessoais e que podem produzir efeitos jurídicos ou impactar significativamente os interesses dos indivíduos. A LGPD estabelece que o titular dos dados tem o direito de entender os critérios utilizados para essa decisão e, mais especificamente, de solicitar uma revisão quando tais decisões afetarem seus interesses. Isso busca evitar ou mitigar possíveis erros, vieses ou discriminações ilícitas ou abusivas que possam surgir de decisões automatizadas que afetem negativamente o indivíduo. 

A utilização de dados pessoais em sistemas de IA também exige que se considere cuidadosamente os possíveis impactos negativos para o titular, que podem ocorrer em decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.  

Ainda em relação ao exercício dos direitos, destaca-se a confirmação da existência de tratamento, o acesso aos dados pessoais, a correção de dados incompletos, inexatos ou desatualizados, a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o dispostona lei, além da possibilidade de revogar o consentimento. O titular também pode opor-se ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.  

A conformidade com a LGPD não apenas estabelece um quadro de proteção para os titulares de dados, mas também fortalece a sua confiança no desenvolvimento e no uso de sistemas de IA, assegurando que o avanço tecnológico esteja sempre alinhado à proteção dos direitos fundamentais e da privacidade. 

Nesse sentido, questiona-se:  

7) De que maneira os direitos do titular, previstos na LGPD, se aplicam a sistemas de IA? 

8) Quais as boas práticas e as salvaguardas a serem observadas na disponibilização de canais de atendimento ao titular para exercício dos seus direitos, a exemplo dos direitos de acesso, de oposição e de revisão de decisões automatizadas, no contexto do tratamento de dados pessoais por sistemas de IA? Se possível, descreva as ferramentas utilizadas para implementação de tais canais de atendimento, com os respectivos parâmetros utilizados. 

9) Deve haver salvaguardas e limites específicos para o tratamento de dados pessoais sensíveis e para o tratamento de dados pessoais de crianças, adolescentes e idosos durante as etapas do ciclo de vida de sistemas de IA?  

10) Quais os requisitos a serem observados para a garantia e a aplicação do direito à revisão de decisões automatizadas (art. 20 da LGPD)? O que pode ser considerado como decisão tomada unicamente com base em tratamento automatizado de dados pessoais? Quais interesses poderiam ser afetados?  

11) Em que hipóteses e sob quais condições pode ser necessária a revisão humana de decisões automatizadas com vistas à adequada garantia de direitos dos titulares? 

12) Quais os parâmetros a serem observados para o fornecimento de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, nos termos do § 1º do art. 20 da LGPD? Quais limites e parâmetros de segredo comercial e industrial justificam a não observância do fornecimento de informações, conforme disposto no mesmo dispositivo legal?  

Bloco 4 - BOAS PRÁTICAS E GOVERNANÇA 

A governança e a adoção de boas práticas no uso de dados pessoais em sistemas de IA podem configurar uma boa estratégia por parte dos agentes de tratamento para garantir a proteção dos direitos dos titulares e a conformidade com a LGPD.  

A adoção de medidas de segurança apropriadas e compatíveis com o risco envolvido em cada situação, de forma a evitar a ocorrência de incidentes de segurança e mitigar os possíveis impactos negativos sobre os titulares são mecanismos previstos na sistemática da LGPD que devem ser adotados durante todo o ciclo de vida de sistemas de IA que utilizam dados pessoais. Nesse sentido, o art. 46, § 2º, da LGPD, determina que as medidas de segurança devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução, norma que também é aplicável ao contexto do desenvolvimento e uso de sistemas de IA. 

De forma similar,  o art. 50 da LGPD dispõe que agentes de tratamento poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. Além disso, o § 2º, I do mesmo artigo estabelece os requisitos mínimos para a implementação do programa de governança em privacidade. 

Nesse aspecto, importa destacar que o uso de salvaguardas, como técnicas de anonimização, pode proporcionar maior proteção aos titulares, que permitem o tratamento de informações sem que essas possam ser associadas a um indivíduo específico. A anonimização é uma técnica que ajuda a minimizar riscos e proteger a privacidade, especialmente no treinamento de modelos de IA, em que grandes volumes de dados são utilizados, podendo conter informações que permitam potenciais riscos às liberdades civis e aos direitos fundamentais dos titulares. 

Outro mecanismo relevante previsto na LGPD e que pode ser utilizado para a governança e a gestão de riscos no contexto do desenvolvimento e uso de sistemas de IA é o relatório de impacto à proteção de dados pessoais (RIPD). Se bem elaborado, um RIPD pode fornecer um instrumental adequado à organização para o conhecimento dos riscos envolvidos e das medidas de mitigação adotadas no caso, além de permitir a prestação de contas a respeito do sistema. 

Nesse sentido, a governança de IA envolve, dentre outras ações, a implementação de políticas e processos que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais e orientem como os dados pessoais devem ser coletados, processados, armazenados e utilizados ao longo de todo o ciclo de vida de um sistema de IA. 

Assim, questiona-se: 

13) De que forma programas de governança em privacidade podem ser utilizados como um mecanismo de promoção da conformidade do desenvolvimento e uso de sistemas de IA com a LGPD? Quais requisitos, especificamente relacionados ao desenvolvimento e uso de sistemas de IA, devem ser observados nesses casos? 

14) Considerando o princípio da responsabilização e prestação de contas, quais informações devem ser documentadas durante o ciclo de vida de um sistema de IA? Em quais contextos específicos relacionados a sistemas de IA é recomendada a elaboração de RIPD? Neste caso, é possível estabelecer requisitos específicos a serem observados na elaboração do RIPD? 

15) Considerando o ciclo de vida de um sistema de IA, em que momento e contexto do tratamento seria viável ou necessária a anonimização? Qual a técnica utilizada? Quais outras medidas de segurança poderiam ser eventualmente utilizadas visando à proteção da privacidade de titulares de dados?